我有一个在Node上运行的Web应用程序,它有一个视图,其中包含一些HTML链接,这些链接位于不同的域和服务器上。这个其他域(在Apache上运行)受基本身份验证和技术/应用程序用户名和密码的保护,Node-process在对另一个域进行REST调用时使用这些用户名和密码。
主要网络应用程序没有任何身份验证,因为访问受白名单IP限制。之前指向其他域的链接确实包含嵌入式凭据,但它们已被删除(因为它们不适用于较新的Chrome版本)。
我有哪些选择可以自动成功登录/验证另一个域?我自动意味着,如果用户通过HTTP链接来自主Web应用程序,则其他域不应该询问任何凭据。
我认为我可以使用HTTP referer,但我觉得这不是最安全和/或最好的方法。节点可以进行处理吗使用JSON Web令牌(JWS)对另一个域进行身份验证,并以某种方式绕过或将某些身份验证自动发送到另一个域,并允许用户浏览器访问而无需询问用户的凭据。
很抱歉,如果这是一个愚蠢的问题,但我无法通过搜索找到简单的解决方案。
答案 0 :(得分:0)
您是对的,推荐人不会对请求带来任何安全保障。您对JWT的看法也是正确的,它可以与Node进程一起使用,并为另一个域提供了一个很好的解决方案。 JWT认证始终是两阶段过程,并且经常使用第一个基本认证。正如你已经在另一个领域(如果我理解的那样),你完成了第一阶段。我最近做了一个这样的解决方案,效果很好。 JWT身份验证是最容易实现的身份之一,我鼓励您这样做。